m公司信息安全管理优化方案

m公司信息安全管理优化方案内容摘要：

部署，对公 司信息安全工作进行具体安排，并监督落实；订立公司总体信息安全战略规划； 协调和督促公司各部门开展信息安全工作；制定和审查公司重大信息安全工作制 度和技术规范；开展信息安全工作检查，调查分析信息安全总体状况，并提出应 对 方案；接受各部门的信息安全事件报告，并且对事件原因、涉及范围，危害程 度进行分析评估，依照评估结论提出防范措施；向信息安全工作领导小组及时报 告信息安全事件，定期向全公司通报信息安全事件处理结果；负责公司信息安全 知识培训和宣传工作。 信息安全工作组内设以下职位： ①系统管理员 —— 负责信息系统的运行和管理，是信息系统安全运行细则的 实施者；管理和维护用户权限，保证信息系统的安全正常运行；收集并记录信息 系统所有安全事项，如发生安全事件应及时向信息安全人员报告；监督其他的信 息系统操作人员，以 保证其操作合规安全。 ②网络管理员 —— 负责管理信息网络，是网络安全策略及安全运行细则的实 施者；配置管理网络用户权限，合理配置网络安全参数，保证网络的安全正常运 行；负责监控关键性网络设备、网络物理线路和端口，防范网络攻击和入侵，如 发生安全事件应及时向信息安全人员报告；监督其他的网络操作人员，以保证其 操作合规安全。 ③应用开发管理员 —— 负责在开发建设信息系统的过程中认真执行安全策 略，保证所幵发的信息系统中的安全功能得到准确实现；在信息系统正式上线之 前，完整移交相关的安全策略等文档；不 允许在信息系统中设置“后门”；按要 求对信息系统核心技术进行保密。 ④安全审计员 —— 负责审计和监督信息系统安全事件和操作人员行为，按操 作员证书号、操作时间、操作类型、事件类型进行分类审计，并管理审计日志等。 ⑤安全保密管理员 —— 负责公司日常的安全保密管理活动，监视网络安全运 行，负责安全设备的常规维护，分析网络审计信息，执行应急安全策略，如发生 重大安全事件及时向应急管理机构报告等。 以上 5个内设岗位要求由不同的人员担任、各自独立。 (4)应急处理工作组 —— 负责公司网络与信息系统的安全应急 策略、应急 预案的审定工作；负责信息安全事件现场指挥，启动相应的应急预案，及时组织 人员排除故障、恢复系统；定期组织测试和演练信息安全应急策略和预案。 信息安全人员的素质应根据相应的工作职责来确认，要求其能够胜任本职工 作，并且具备相应的技术能力和协调管理能力。 鉴于 M公司实际情况和规模，信 息安全工作小组的完整组建可能会存在困难，那么某些岗位可以由其他部门的人 员兼任，也可以进行外包，聘请第三方人员来担任。 (四）建立信息安全审计制度 建立规范的审计制度 内部审计是对信息安全管理体系 在实施过程中的情况作出评价，所以应该 定期组织进行审计，可以有效促进体系不断地改进和完善，审计制度是信息安全 管理体系自我改进机制的重要组成部分。 M公司的信息安全政策和运行规范制度体系是其信息安全管理工作开展的 依据，所以审计工作的内容主要就是检验其信息安全政策标准的符合性和执行情 况。 审计工作包括以下内容：检验是否依照相关要求制定了相应的规章制度和实 施细则；检验员工对各类规章制度的执行情况，核查对以往审计结果进行的整改 措施是否得以落实；检验分析信息安全控制措施的运行效果，以评估其有效性。 为保证审计工作的有效性，设计以下审计流程： (1)计划 ①组织审计组。 选择有资格的 34人组成审计组，并任命一名组长。 组长的 职责是编制审计计划、分派审计任务，与受审部门沟通，向管理者汇报审计结果， 编制审计报告，组织纠正措施的验证等；审计员的职责是编制审计表，完成被分 派的审计任务，分析记录审计证据，参与纠正措施的跟踪验证等。 ②编制审计计划。 确定审计的目标、范围、准则、日程安排，以及审计组成 员分工等。 其中审计目标一般包括：评价信息安全管理体系与审计准则及所适用 的法律法规的符 合程度，评价组织的目标和信息安全管理方案的实现程度等；审 计准则主要有：标准，企业方针、目标，程序文件、国家和行业部门发布的有关 法律法规、技术标准等；审计范围包括：审计活动所涉及的区域、场所、过程、 活动、产品以及覆盖的时间等。 ③编制检査表。 检查表是依据标准、组织的管理体系文件，按部门职能分配 和过程 /活动特点进行编制，部门、项目的职责涉及哪些要素，哪些是主控要素， 哪些是相关要素，过程的输人、输出和活动的内容是什么，都需要在检查表中列 出审计要点。 因此，检查表就是“查什么”和“如何查”， 后者指抽样的步骤和 抽样方法 ,合理的抽样才能保证审计结果的客观公正。 每次审计前应编制检査表， 以使审计工作规范化，格式化，减少审计员的随意性和盲目性。 检査表由审计员 编写，组长审核。 (2)实施 ①首次会议。 主要目标是确认审计计划，审计组与受审核部门沟通，由审计 组全体人员，受审部门负责人，信息安全负责人参加，审计组长主持会议。 会议 的议程是：确认内审目标、范围和审核准则；介绍审核日程安排；介绍审核组成 员及分组；明确审核方法、程序和要求；请主要领导简短讲话。 ②现场审计。 现场审计是指审核 员按准备好的检查表进行检查，这是一个寻 找客现证据的过程。 其主要包括以下几个方面：通过面谈、查看文件和现场观察 等方式获取客观证据；做好审计记录，包括时间、地点、人物、凭证材料和事实 陈述；将收集到的客观证据和审计标准进行比较评价，并对不符合标准的项目开 出不符合项通知单。 ③末次会议。 现场审核结束后，召开末次会议，由审核组长主持，与会人员 与首次会议相同。 其主要议程有：重申审核目标、范围、准则；报告审核过程； 宣布不符合项报告单；询问受审核部门有否需要澄清之处；对此次审核工作进行 总结；请 公司领导作总结讲话。 (3)检查 ①审计结果。 审计实施后，审计组根据掌握的证据，经过分析论证，对信息 安全管理体系进行综合性评价，其内容包括：管理体系主要过程应进行的活动和 体系文件中各项规定是否得到实施和保持；各项活动结果是否达到预定的目标； 组织的信息安全方针和目标的适宜性和实现程度；信息安全管理水平的提高，即 信息安全事件的发生频率及影响；信息安全意识提髙的表现；管理体系自我完善 与持续改进的情况相机制是否建立和健全等。 ②审计报告。 评价后结合审计目标提交审计报告，主要内容有：审计的目标、 范围和准则；审计组成员，审计日期及审计过程简述；审计中发现的不合格项分 布；信息安全管理体系运行有效性的评价；审计结论及整改意见等。 审核报告经 管理者代表批准签署并打印、分发到有关部门并提交管理评审。 (4)改进 ①纠正措施。 在内部审计中审计员开出了不符合项通知单，责任部门在接到 不合格通知单后，要认真调査分析造成不符合的原因，有针对性地提出纠正措施， 以消除不符合的原因。 纠正措施要经审计组认可。 责任部门还要举一反三，查找 有无类似的问题，同样要采取纠正措施。 纠正措施计划的实施期限一般不超过 30天，特殊情况适当延长。 ②跟踪验证。 纠正措施完成后，责任部门应向主管部门报告，主管部门组织 审计员对纠正措施的实施情况及其有效性进行验证，验证内容包括：各项措施是 否按规定日期都已完成；完成后的效果如何，必要时进行抽查，看是否还有类似 的不符合发生；纠正措施的实施情况是否有记录，有证据可查，验证有关证据； 如因纠正措施引起程序文件修改，应提请管理部门考虑修改文件。 审计员经验证 签署后，此项不符合即已关闭。 ③审计活动 的监视。 在审计过程中，管理部门应对审计活动进行监视，内容 有：审计活动和结果与审计方案、审计计划的符合性；审计组实施审计计划的能 力；审计文件、记录是否符合要求；审计目标是否达到。 根据审计活动监视的结 果，每年进行一次总结，以便改进下一年度的审计方案。 审计工作开展中旳关键因素 (1)规章制度应当同国际标准相结合 公司内部制度规范通常是审计工作的依据和基础，但是由于 M公司目前还没 有建立完整的信息安全管理制度体系，缺少可以用来对照的标准和规范，所以需 要借鉴相关的国际标准开展审计工作，比 如信息安全管理方面的国际权威标准 IS027001，或者信息安全和技术审计标准 COMT等。 (2)信息安全审计人员应接受过专业技能培训 信息安全审计工作对审计人员的业务素质有着特殊的要求，要么审计人员 在开展工作之前必须接受必要的专业技能培训，要么选用获得信息安全管理或审 计认证资格的专业人员来担任审计人员。 (3)严格控制第三方审计 在进行内部审计的过程中，首先要注意回避原则，即当事人不能对自己所从 事的工作进行审计。 但是对于 M公司这样的小型公司来说，挑选内部审计员可能 存在困难，可以应 聘请外部审计员执行审计活动。 作为第三方审计组织，有些知 名的审计专业机构在审计方面拥有丰富的经验，能够独立地开展审计工作，从而 获得比较公正的审计结果。 但是，由于第三方审计人员在开展审计工作的过程中 很可能会接触到一些公司内部敏感信息，所以有必要采取严格的管控措施，保障 第三方审计过程中的信息安全。 (五）建立信息安全风险管理机制 建立科学化信息安全风险管理流程 所谓的信息风险就是指威胁利用系统弱点对信息资产造成损失或者破坏的 可能性。 一个信息系统是否安全，主要看它的风险是否己经在现有措 施的控制下 降低到了最小程度，或者是否仍在可控范围内，而不是绝对的没有风险，想要完 全消除风险也是不切实际的。 按照风险管理的一般步骤，风险管理由风险评估和 风险处置两方面组成。 风险管理流程如图 44所示： 在发生了安全事故时，从保险公司获得价值相当的补偿。 ②确定安全控制措施 选择安全控制措施时需考虑其成本 ,安全控制措施实施的成本应低于其保护 的资产价值，同时也应低于安全部门的资金预算。 为了防止不必要的风险，应该 及时调整因预算不足以提供足够质量的安全控制措施。 除了成本 因素，还要考虑 其他一些因素，包括安全控制措施实施的难易程度或者用户的接受程度等。 M公司在实施风险管理时应注意的事项 根据 M公司现在的信息安全管理状况来看，应选择适当的评估方法和工具， 结合自评估和第三方评估的方式开展信息安全风险评估。 由于在评估实施过程中 可能会对公司的信息资产构成安全威胁，所以在实际操作过程中，可由第三方评 估公司对外围系统及网络进行评估，而核心系统则由公司人员进行自评估。 为提 高自评估效果，可由经验丰富的风险评估公司对 M公司的评估人员进行技能培 训，并且提供科学的 评估工具。 当 M公司评估人员评估技能的不断提高，可逐步 过渡到以自评估为主，第三方评估为辅。 信息安全风险评估不是一次性的孤立的工作，应当在信息风险策略或者信息 风险状况发生变化时，及时再次进行系统化风险评估，从而得到具有可比性和连 贯性的评估结果。 (六）建立信息安全监控报警及响应恢复机制 监控报警机制的建立与注意事项 为保证安全控制措施能够被正确实施，需要建立信息安全监控机制，安全事 件发生时可以被及时发现并且得到响应。 安全监控对规划实施中采取的安全控制 措施进行有效性跟踪，如发现问 题将会启动新的一轮风险评估，并且将持续监控 残余风险，信息安全事件会得到及时发现和报告，并启动响应恢复流程。 M公司 需要按照以下原则实施安全监控： (1)实行集中监控 M公司的信息安全事件可能发生自网络、信息系统、或者其他应用，集中式 的信息安全监控能够全面收集来自这些风险点的日志和警告信息，将不同层面的 安全事件信息集中起来统一进行分析，有利于全面掌握全公司的信息安全状况， 能够有效提高信息安全监控水平。 (2)加强实时监控 由于信。